Re: ssh 1.2.3-9.4

To: <debian-user-polish@lists.debian.org>
Subject: Re: ssh 1.2.3-9.4
From: "Michal Trojnara" <Michal.Trojnara@mirt.net>
Date: Thu, 3 Jan 2002 09:03:12 +0100
Message-id: <[🔎] 003f01c1942d$273ef0c0$d1803bc1@centertel.pl>
References: <[🔎] 3C340ED5.8080007@poczta.fm>

baton napisal:
> Zainstalowalem sobie ssh 1.2.3-9.4 korzystajac apt w Debianie 2.2r4. Po
> zrobieniu audytu bezpieczenstwa Nessus pisze ze ta wersja ssh jest
> podatna na atak pozwalajacy hakerowi wykonywac rozne komendy. Mam wiec
> pytanie - czy to Nessus sie myli czy wersja ssh zassana za pomoca apt
> jest dziurawa?

Prawodopodobnie wynika to z nietypowej (genialnej!) polityki poprawiania
bledow w stabilnych wersjach Debiana.  Zamiast robic upgrade do nowszej
wersji pozbawionej bledow, co mogloby spowodowac utrate kompatybilnosci z
innymi pakietami, backportuje sie poprawki do stabilnej wersji programu.
Oznacza to, ze stabilne dystrybucje Debiana zawieraja wersje pakietow znane
powszechnie jako dziurawe, ale z poprawionymi bledami.

Polecam lekture:
    zless /usr/doc/ssh/changelog.Debian.gz
(analogicznie w przypadku innych pakietow)

Ergo: Nessus sie myli, bo sprawdza wersje programu, a nie faktyczna obecnosc
dziury.

Pozdrawiam,
    Michal Trojnara

Reply to:

Follow-Ups:
- Re: ssh 1.2.3-9.4
  - From: Marcin Owsiany <porridge@debian.org>

References:
- ssh 1.2.3-9.4
  - From: baton <batonn@poczta.fm>

Prev by Date: ssh 1.2.3-9.4
Next by Date: Re: ssh 1.2.3-9.4
Previous by thread: ssh 1.2.3-9.4
Next by thread: Re: ssh 1.2.3-9.4
Index(es):
- Date
- Thread